タグ付けされた質問 「stunnel」


2
MySQLへの安全な接続-MySQLのSSL対Stunnel対SSHトンネリング
MySQLサーバーに接続するPHPアプリケーションがあり、Webおよびアプリケーションサーバーとデータベース間の接続を保護したいと考えています。 ピーク時には、Webサーバーは何百ものデータベースへの同時接続を行い、多数の小さな読み取りと書き込みを実行します。これは最適ではないことを認識しており、これと並行してデータベース接続の数を減らすことに取り組んでいます。 現在、データベースへの永続的な接続が有効になっていないため、将来的にはこれとは別に実装するつもりです。 ハードウェアに関しては-MySQLサーバーはWebサーバーと同様に非常にチャンキー(16コア)です。それらは専用サーバーです。 私の質問は、データベースサーバーへの接続を保護および暗号化する最も高性能な方法を取り巻いています。 これまでの研究では、主なパフォーマンスオーバーヘッドはSSL接続のセットアップにあることが示唆されています。SSLが接続されると、パフォーマンスの低下はほとんどありません。そして、接続を保護する各方法について私が持っているものは次のとおりです。 MySQL SSL証明書-通常のSSLと同じように機能します。クライアント証明書を使用して、不正な接続を防止できます。既存のセットアップとの永続的な接続はありません。ファイアウォールの開いているポートでMySQLをリッスンさせる必要があります。 un。ポートsslトンネルへのポートをセットアップします。MySQLを再構成する必要はありません。悪意のあるMySQL接続の試行を防ぐために、通常のMySQLリスニングポートを閉じることができます。持続的接続はサポートしていません。不明なパフォーマンスヒット。 SSHトンネリング。クライアントとサーバーの間にSSHトンネルを作成します。MySQLを再構成する必要はありません。悪意のあるMySQL接続の試行を防ぐために、通常のMySQLリスニングポートを閉じることができます。永続的な接続をサポートしますが、これらは時々ドロップアウトします。不明なパフォーマンスヒット。 これは私が得ることができる限りです。ベンチマークの限界を認識しています-ベンチマークを実行した経験では、実際のトラフィックをシミュレートすることは非常に困難です。私は誰かがMySQLを保護する自分の経験に基づいていくつかのアドバイスを望んでいたのですか? ありがとう

3
stunnelがすべての中間CA証明書を送信するようにするにはどうすればよいですか?
ほとんどではないが、少数のコンピューターがWebサーバーからのSSL証明書を拒否しています。問題は、一部のコンピューターがCA証明書を拒否していることです。問題は、Mac OS X 10.6が完全に更新されていない場合に現れているようです。 http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.comによると、問題はありません。 http://certlogik.com/sslchecker/によると、送信される中間証明書はありません。 私の証明書はsf_bundle.crtStarfield Technologiesからのもので、ここから使用しています:certs.godaddy.com/anonymous/repository.seam 私は次のようにstunnel経由でサーバー上のSSLを処理していますstunnel.conf: cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 私が間違っている可能性のあるアイデアはありますか?

2
vpnトラフィックをstunnelし、ポート443でSSLトラフィックのように見えることを確認します
発信および着信トラフィックを可能な限りSSLトラフィックにできるだけ合法的に見えるようにしています。OpenVPNトラフィックではなくSSLトラフィックのように見えるように、独自のトラフィックをDPIする方法はありますか?そして私の設定に基づいて、すべてのトラフィックはSSLポートであるポート443を使用しますか? 私の構成は次のとおりです。 ラップトップ上のSTUNNEL: [openvpn] # Set sTunnel to be in client mode (defaults to server) client = yes # Port to locally connect to accept = 127.0.0.1:1194 # Remote server for sTunnel to connect to connect = REMOTE_SERVER_IP:443 ラップトップ上のOPENVPN CONFIG: client dev tun proto tcp remote 127.0.0.1 1194 resolv-retry infinite …
13 linux  vpn  openvpn  stunnel 

4
haproxy + stunnel + keep-alive?
HTTPSトラフィックを処理するためにhaproxy 1.4の前にstunnelを配置したいと思います。X-Forwarded-Forヘッダーを追加するためのstunnelも必要です。これは 、haproxy Webサイトからの「stunnel-4.xx-xforwarded-for.diff」パッチによって達成できます。 ただし、説明では次のように述べています。 このパッチはキープアライブでは機能しないことに注意してください... 私の質問は、これは私にとって実際に何を意味するのでしょうか?わからない これがキープアライブの場合 クライアントとstunnel stunnelとhaproxy またはhaproxyとバックエンドサーバー? これがパフォーマンスに与える影響:Webページに100個のアイコンがある場合、ブラウザーは100個の完全なSSL接続をネゴシエートする必要がありますか、それとも新しいTCP接続を作成するだけでSSL接続を再利用できますか?
10 ssl  https  tcp  haproxy  stunnel 

2
stunnelサーバーの設定に関するバグ: `SSL3_GET_CLIENT_HELLO:wrong version number`
stunnelWindows XPでサーバーを設定していますが、クライアントがアクセスしようとすると、次のバグが発生します。 2013.02.14 00:02:16 LOG7[8848:7664]: Service [https] accepted (FD=320) from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:7664]: Creating a new thread 2013.02.14 00:02:16 LOG7[8848:7664]: New thread created 2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] started 2013.02.14 00:02:16 LOG5[8848:9792]: Service [https] accepted connection from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:9792]: SSL state (accept): before/accept initialization 2013.02.14 00:02:16 LOG7[8848:9792]: …
9 windows  ssl  https  stunnel 

3
Stunnelは一部のホストからのSSLv3で動作しません
警告: SSLv3は廃止されました。完全に無効にすることを検討してください。 StunnelをSSLキャッシュとしてサーバーに設定しようとしています。すべてがスムーズで、ほとんどが設計どおりに機能しました。 次に、ログファイルでエラーが発生しました。 SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number 何らかの奇妙な理由により、すべてのクライアントがそれをトリガーするわけではありません。リンクを使用してCentOSから接続する-エラーが表示されます(複数のマシンを試しました)。リンクを使用してUbuntuから接続-エラーなし。 wgetを使用してみましたが、TLSv1ではすべてがスムーズですが、SSLv3ではエラーが表示されます。同時に、wgetは次のように報告します。 OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure SSL接続を確立できません。 これが私の設定です: pid = /etc/stunnel/stunnel.pid debug = 3 output = /etc/stunnel/stunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 verify=3 ; fixing "fingerprint does not match" error fips=no [https] accept=12.34.56.78:443 connect=127.0.0.1:80 TIMEOUTclose=0 xforwardedfor=yes CAfile = /path/to/ssl/example.com.cabundle cert=/path/to/ssl/example.com.crt key=/path/to/ssl/example.com.key …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.